- L’assureur santé Alan avait mis en garde samedi face à un piratage de données du spécialiste du tiers payant Almerys.
- Ce dernier a confirmé ce lundi avoir été victime d’une cyberattaque qui a touché « l’ensemble des clients ».
- Déjà touchée par une cyberattaque en 2024, l’entreprise signale « l’exposition de données personnelles », sans chiffrer le nombre de bénéficiaires concernés.
L’ampleur de la fuite n’est pas encore connue. Le spécialiste du tiers payant Almerys a confirmé lundi 25 mai avoir été victime d’une cyberattaque ayant entraîné « l’exposition de données personnelles »
de bénéficiaires, sans toutefois chiffrer leur nombre. Samedi, l’assureur santé Alan avait d’ores et déjà invité ses adhérents à la vigilance après ce piratage, mais l’entreprise est également le prestataire d’autres mutuelles, comme MGEN, Harmonie Mutuelle ou AG2R.
Selon un communiqué d’Almerys envoyé à l’AFP, « cette attaque, concernant l’ensemble des clients, a permis un accès non autorisé au site de délivrance des prises en charge (PEC) »
utilisé par certains professionnels et établissements de santé (nouvelle fenêtre). Les données personnelles (nouvelle fenêtre) « potentiellement exposées »
comprennent les nom, prénom, date de naissance, numéro de sécurité sociale, nom de l’assureur santé, numéro de contrat de l’assureur ainsi que les dates de début et de fin de couverture.
Des demandes de prises en charge affectées
En revanche, « les informations bancaires, les données de santé, les remboursements de soins, les coordonnées postales, les numéros de téléphone, les adresses e-mail et les mots de passe ne sont pas concernés par cet acte malveillant »
, ajoute le communiqué de la société, qui avait déjà été victime d’un vol massif de données (nouvelle fenêtre) lors d’une cyberattaque début 2024.
Face à cette fuite de données, Almerys indique avoir « pris des mesures immédiates pour identifier et neutraliser les accès concernés »
. Ainsi « le site PEC a été fermé »
, ce qui a des répercussions sur des demandes de prises en charge (nouvelle fenêtre), notamment en optique, en audiologie, en dentaire ainsi que certaines prises en charge hospitalières. « Les parties prenantes concernées ont été immédiatement informées »
, ajoute le communiqué.
L’entreprise précise que ses autres services « restent opérationnels »
et que les activités « de gestion, de mise à jour des bases, de traitement des flux et de paiement des prestations santé fonctionnent normalement »
. La situation est en effet « circonscrite au site de délivrance des prises en charge concerné »
et « les services essentiels
de tiers-payant
(nouvelle fenêtre) continuent d’être assurés »
, assure-t-elle, précisant par ailleurs travailler à une « phase transitoire »
permettant de proposer « des solutions de contournement »
.
L’entreprise indique notamment avoir déposé plainte auprès du procureur de la République. Le parquet de Paris a de son côté indiqué à l’AFP que sa section de lutte contre la cybercriminalité avait saisi la brigade spécialisée de la préfecture de police d’une enquête.
